概述

公开暴露的用户凭据会产生深远的影响，因为凭据重复使用可能会导致数据泄露、系统受损、品牌声誉损失以及财务损失。网络威胁行为者(CTA)利用员工密码重用以及员工出于商业目的使用组织电子邮件地址来获取SLTT政府域账户凭据的访问权限。某些CTA的目标是登录凭据而不是漏洞，因为通过提升凭据更容易利用凭据并获取对资源的访问权限。具有更高权限的凭据使组织面临更大的风险，从而允许安装软件或重新配置安全控制。如果CTA能够使用提升的凭据，他们就可以访问其他主机、安装恶意软件、窃取数据、

组织建议：

如果确认凭证泄露，请对事件进行分类，以确保威胁被隔离并且不会发生数据泄露。快速有效地做出响应以确定是否发生了数据泄露或其他进一步的泄露，从而提高了网络弹性。凭证被盗的事件响应流程应包括但不限于以下内容：

• 对受感染的账户强制重置密码。

• 确定网络上是否发生未经授权的登录（可能由异常的IP地址或时间表明），如果发生，请重置受感染设备上的所有密码。确定并修复受影响用户的电子邮件账户上是否设置了电子邮件规则：

• 攻击者使用删除规则来维护对受感染账户的持久访问，这些规则隐藏了这些账户发送或接收的邮件中的差异。

• 转发规则允许攻击者监控邮箱，而无需登录受感染的账户。然而，转发规则可能会无意中导致数据泄露，因为可以转发额外的、可能敏感的数据。

• 识别在攻击中受到损害或影响的高价值账户和计算机，其中的损害可能会产生更大的影响，例如有权访问敏感数据的用户，包括人力资源和财务部门的员工；有权访问服务器的管理员；Active     Directory管理组的成员；以及其他具有更高权限的账户。

• 验证受影响的系统是否使用全新版本进行了重建。

• 如果可能，启用双因素身份验证。

• 提醒用户不要使用其工作电子邮件地址进行个人活动。

• 确保您的信息安全策略禁止在任何第三方账户（企业或个人）上重复使用网络密码。

用户推荐：

• 如果暴露的账户包含个人信息，例如社会保障号、银行账户信息或信用卡信息；您可以通过联邦贸易委员会的身份盗窃网站获得进一步的帮助。

• 请勿将工作电子邮件地址用于个人用途。

• 请记住避免重复使用确切的密码或相似的密码，因为网络威胁行为者会使用技术来猜测相似的密码。

• 如果网站或账户提供此功能，请启用双因素身份验证。

• 考虑使用离线密码管理器来限制密码重复使用。

原文始发于微信公众号（河南等级保护测评）：网络​安全入门–公开的凭据